Команда децентрализованной биржи Drift Protocol опубликовала результаты расследования взлома на $280 млн, произошедшего 1 апреля. По их заключению, атака готовилась как минимум полгода северокорейскими хакерами, которые использовали подставную трейдинговую организацию и третьих лиц для личных встреч с сотрудниками.
Вечером 1 апреля децентрализованная биржа Drift Protocol, построенная на блокчейне Solana, подверглась хакерской атаке. Злоумышленники вывели из проекта не менее $280 млн. На фоне атаки нативный токен биржи DRIFT потерял почти 60% стоимости, опустившись до отметки ниже $0,03 по состоянию на 6 апреля — этот уровень является исторически минимальным для цены актива.
Осенью 2025 года к сотрудникам Drift на крупной криптоконференции подошли другие участники, представившиеся сотрудниками трейдинговой компании, желающей интегрироваться с протоколом, написано в отчете. На протяжении следующих шести месяцев эти люди встречались с ключевыми сотрудниками Drift лично на нескольких отраслевых конференциях в разных странах.
«Они были технически подкованы, имели проверяемые профессиональные навыки и были знакомы с тем, как работает Drift», — отметили в команде проекта.
Отмечается, что злоумышленники создали телеграм-группу, а также внесли более $1 млн собственных средств в экосистемное хранилище ликвидности Drift. Помимо этого, они участвовали в рабочих сессиях, задавая очень конкретные вопросы о продукте.
Хакеры не взламывали протоколы Drift напрямую, а заразили вирусом компьютеры ключевых разработчиков протокола, указано в сообщении. Одному из них прислали зараженный файл якобы для работы. Другому предложили скачать приложение, которое выглядело как криптокошелек. Как описывает команда Drift, заражение произошло незаметно из-за того, что для установки вируса достаточно было просто открыть папку с файлами и никаких лишних окон или кнопок «разрешить» не было.
Важно отметить, что люди, которые встречались лично, не были гражданами Северной Кореи. «Севекорейские хакеры, действующие таким образом, используют посредников для личных контактов», — пояснили в Drift.
Эти посредники имели «тщательно выстроенные легенды, включая историю трудоустройства, общедоступные учетные данные и профессиональные связи». Также отмечается, что «прямо в момент взлома их телеграм-чаты и вредоносное ПО были полностью уничтожены».
С высокой степенью уверенности, подкрепленной расследованием команды SEALS 911, данная операция приписывается той же хакерской группировке, которая стоит за взломом Radiant Capital в октябре 2024 года.
Эксперты подчеркивают, что такая тактика не является чем-то новым на крипторынке. Разработчик MetaMask и исследователь безопасности Тейлор Монахан заявила, что северокорейские IT-работники внедряются в криптокомпании уже как минимум семь лет. По ее словам, более 40 DeFi-платформ, включая известные проекты, имели в своих рядах таких разработчиков.
А основатель Titan Exchange, торгового агрегатора на базе Solana, Тим Ахл рассказал, что на предыдущем месте работы его команда провела собеседование с человеком, который оказался оперативником Lazarus Group. Кандидат был чрезвычайно квалифицирован, проводил видеозвонки, но отказался от личной встречи.
Lazarus Group — это обобщенное название для всех государственных киберсубъектов КНДР. С 2017 года, по оценкам аналитиков R3ACH Network, эта группировка похитила криптовалюты на сумму около $7 млрд. Среди самых громких атак: взломы Ronin Bridge на $625 млн (2022), WazirX на $235 млн (2024) и Bybit на $1,4 млрд (2025).
Известный криптодетектив ZachXBT, который отслеживал кошельки хакеров после взлома Drift, призвал не переоценивать сложность этих методов. По его словам, угроза посредством устройства хакера на работу в компанию или сотрудничества с ней — это «базовые и ни в коей мере не сложные методы».
«Если вы или ваша команда все еще попадаетесь на это в 2026 году, вы, скорее всего, действуете с преступной халатностью», — резюмировал ZachXBT.
Фьючерсы на золото и серебро вошли в топ-5 по объему торгов на Binance
Что будет с нетронутым резервом создателя биткоина при квантовом «взломе»
«Месяц терпения». Сколько биткоин будет стоить в апреле